O confinamento mudou o panorama do DDoS
Insights globais sobre ataques DDoS na camada de Rede
O tráfego da internet cresceu no primeiro trimestre de 2020. Os ataques DDoS na camada de Rede também aumentaram?
Houve um enorme aumento no tráfego da internet e nos ataques de DDoS na camada de Rede no primeiro trimestre de 2020. Com o confinamento global, a força de trabalho remota começou a usar a internet para manter o contato com a comunidade, estudar a distância, comprar, passar tempo nas Redes Sociais e utilizar serviços virtuais, como delivery de comida e jogos. Em alguns países o tráfego da web cresceu em até 50% e com essa alta, aumentaram os ataques DDoS na camada de Rede. Quando a atividade on-line se intensifica, os invasores por DDoS veem uma oportunidade, pois sabem que o uso maior da internet gera uma receita por minuto mais alta para empresas virtuais.
Durante o pico de uso, as empresas têm mais a perder, então os invasores ficam ainda mais motivados para usar táticas de DDoS. O Conselho da Indústria de Tecnologia da Informação dos EUA (ITC, na sigla em inglês) estima que o custo médio de uma interrupção é de US$ 5.600 por minuto. Isso significa que um ataque de DDoS bem-sucedido pode gerar a uma empresa um prejuízo de até US$ 336 mil por hora de tempo de inatividade. Devido aos custos cada vez mais caros do tempo de inatividade, algumas empresas podem se sentir tentadas a pagar um resgate aos invasores de DDoS para fazer a infraestrutura de Rede e as propriedades da web voltarem a funcionar novamente.
Os ataques ficaram menores e mais rápidos no primeiro trimestre de 2020
A maior parte dos ataques à camada de Rede observados durante o primeiro trimestre de 2020 foram pequenos, medidos em taxas de bit. Dados mostram que 92% dos ataques tiveram menos que 10 Gigabits por segundo (Gbps), em comparação com 84% no quarto trimestre de 2019. Em termos de taxas de pacotes, a maioria dos ataques teve no máximo um milhão de pacotes por segundo (pps). Essa taxa, junto com a taxa de bits, indica que dessa vez os invasores concentraram esforços e recursos em gerar ataques em pequena escala.
Além das taxas de bits e pacotes, a duração dos ataques também diminuiu. No primeiro trimestre de 2020, 79% dos ataques DDoS duraram entre 30 e 60 minutos, em comparação com ataques que duram dias ou meses. Parece uma boa notícia, mas não é. Uma teoria para essa tendência de ataques menores e mais curtos é que hoje é mais fácil e mais barato lançar um ataque DDoS do que no passado. De fato, ataques de negação de serviço distribuída agora estão disponíveis como serviço. Um ataque de 5 minutos pode custar apenas US$ 5 nos locais mais obscuros da internet, de acordo com a Kaspersky.
Ataques grandes ainda prevalecem
Embora a maioria dos ataques observados no primeiro trimestre de 2020 tenham sido inferiores a 10 Gbps, ataques maiores ainda prevalecem. Em março, ocorreu o maior ataque do trimestre, que atingiu o pico em mais de 550 Gbps. A partir de meados de março, a Cloudflare notou um aumento em ataques de DDoS maiores visando empresas maiores. Esses ataques podem ser obra de agentes patrocinados por governos, hacktivistas ou cibercriminosos em busca de resgate com o objetivo de atrapalhar empresas cujos funcionários estão trabalhando remotamente. Outros invasores podem tentar se aproveitar de serviços públicos vulneráveis, como redes elétricas e operações de petróleo, em momentos de instabilidade.
Rastreamento de vetores de ataque
O número médio de vetores de ataque usados em ataques de DDoS por IP em um dia tem se mantido estável, em aproximadamente 1,4. E o número máximo de vetores de ataque direcionados a um IP em um dia foi de 10. Ao longo do último trimestre, houve mais de 32 tipos diferentes de vetores de ataque nas camadas 3 e 4 (C3/4). Ataques de sinal de confirmação (ACK) foram a maioria (55,8%) no primeiro trimestre, seguidos por ataques de solicitação de sincronização (SYN), com 14,4%, e, em terceiro lugar, o malware de botnet Mirai, que ainda representa uma parte significativa dos ataques (13,5%). Juntos, os ataques de DDoS de SYN e ACK formam mais de 70% de todos os vetores de ataque nas C3/4 no primeiro trimestre.
Resumo das lições do primeiro trimestre de 2020
O uso global mais alto da internet está motivando mais ataques DDoS.
Os ataques ficaram menores e mais curtos, possivelmente porque se tornaram mais baratos e mais fáceis de lançar.
Ataques maiores direcionados a empresas maiores ainda prevalecem.
Como fechar a janela de oportunidades para os ataques DDoS
Os ataques DDoS estão mais presentes do que nunca, e todas as entidades on-line do mundo precisam desenvolver uma postura de segurança que garanta a proteção, a agilidade e a confiabilidade de Redes, aplicativos e sites. Você já sabe qual é o custo de uma possível perda de receita em uma hora de negação de serviço.
Portanto, qual é a abordagem de melhor custo-benefício para alcançar essas metas numa era em que tudo está conectado, em que empresas precisam separar rapidamente o tráfego bom e legítimo do tráfego ruim e indesejado?
Um método de mitigação de ataques de DDoS é o uso de caixas de hardware para verificar e filtrar o tráfego local no perímetro da Rede. O lado negativo dessa abordagem é que ataques mais curtos exigem táticas de mitigação rápida, de 10 segundos ou menos. Muitos fornecedores de equipamentos legados oferecem um SLA de tempo de mitigação de até 15 minutos.
Outro método de mitigação de DDoS é o redirecionamento do tráfego de Rede por meio de centros de depuração, a fim de separar o tráfego malicioso do tráfego legítimo. Mas como muitos ataques de DDoS são localizados, os centros de depuração não são uma solução viável, pois são limitados em número e geograficamente dispersos, o que pode criar um "gargalo", já que o tráfego precisa ser roteado entre esses centros.
Ter uma Rede baseada em nuvem é a única defesa realmente viável contra os ataques de DDoS sofisticados de hoje. É uma maneira de colocar a proteção contra DDoS em um único plano de controle na borda de Rede para interromper ataques distribuídos o mais próximo possível da origem. Assim, os servidores de origem ficam seguros, no local ou na nuvem. Uma proteção de Rede unificada e em grande escala sempre aprende com cada ataque e compartilha automaticamente essa inteligência para impedir o próximo. Além disso, oferece segurança robusta contra DDoS em toda a sua empresa sem diminuir o desempenho da Rede e dos aplicativos e afetar negativamente a receita.
Essas descobertas foram feitas na rede da Cloudflare, que está presente em mais de 200 cidades em mais de 100 países e bloqueia mais de 76 bilhões de ameaças cibernéticas por dia. Devido à nossa exclusiva visão 360º de todo o cenário de ameaças de DDoS, a Cloudflare consegue coletar dados detalhados sobre esses ataques pervasivos à medida que eles evoluem.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.